Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
REGULAMENTUL
privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor
cu caracter personal și privind libera circulație a acestor date
Art. 1. Denumirea operatorului. (1) Operatorul de date cu caracter personal este .................. S.R.L..
Sediul social: București, ................... sectorul 2.
Număr de ordine în Registrul Comerțului: J40/............ atribuit pe data de .................
Cod unic de înregistrare: ..........................
Forma de organizare: societate cu răspundere limitată pe acțiuni (S.R.L.).
Durata de funcționare: nelimitată.
Certificat de înregistrare: ..................... emis pe data de .......................
Actul de înmatriculare și autorizare: încheierea judecătorească nr. ..........................
Starea societății la data întocmirii raportului: în funcțiune.
Art. 2. Activitatea principală a operatorului. (1) Alte activități recreative și distractive n.c.a – cod
CAEN ..................... conform codificării prevăzute de Ordinul nr. 337/2007 privind actualizarea
Clasificării activităților din economia națională (CAEN) emis de Președintele Institutului Național de
Statistică.
(2) Conform declarației nr. .................... operatorul desfășoară activități proprii de birou la sediul
social din București, ............., ...................... sectorul 2.
(3) Număr mediu de salariați pentru anul 2018................... de salariați, conform datelor cuprinse în
furnizarea de informații emisă de Oficiul Registrului Comerțului București cu nr. .......................
Art. 4. Scopul Regulamentului este de a garanta și proteja drepturile și libertățile fundamentale ale
persoanelor fizice, în special a dreptului la viață intimă, familială și privată, cu privire la prelucrarea datelor
cu caracter personal.
Art. 5. Regulamentul se aplică prelucrărilor de date cu caracter personal, efectuate, în tot sau în
parte, prin mijloace automate, precum și prelucrării prin alte mijloace decât cele automate a datelor cu
caracter personal care fac parte dintr-un sistem de evidență sau care sunt destinate să fie incluse într-un
asemenea sistem.
Art. 8. (1) Parlamentul European și Consiliul au adoptat, în data de 27 aprilie 2016, Regulamentul
UE nr. 679/2016, fiind publicat în Jurnalul Oficial al Uniunii L119 din data de 4 mai 2016. Prevederile lui
sunt direct aplicabile în toate statele membre din data de 25 mai 2018.
(2) Regulamentul UE nr. 679/2016 impune un set unic de reguli în materia protecției datelor cu
caracter personal, înlocuind Directiva 95/46/CE și, implicit, prevederile Legii nr. 677/2001 pentru protecția
persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date.
Art. 9. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este
un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene
(„carta”) și articolul 16 alineatul (1) din Tratatul privind funcționarea Uniunii Europene (TFUE) prevăd
dreptul oricărei persoane la protecția datelor cu caracter personal care o privesc.
Art. 10. (1) Principiile și normele referitoare la protecția persoanelor fizice în ceea ce privește
prelucrarea datelor lor cu caracter personal, indiferent de cetățenia sau de locul de reședință al persoanelor
fizice, trebuie să fie cât mai bine înțelese și aplicate, astfel încât să respecte drepturile și libertățile
fundamentale persoanelor fizice, în special dreptul la protecția datelor cu caracter personal.
(2) Protecția conferită de Regulamentul UE nr. 679/2016 vizează persoanele fizice, indiferent de
cetățenia sau de locul de reședință al acestora, în ceea ce privește prelucrarea datelor cu caracter personal
ale acestora.
(3) Regulamentul UE nr. 679/2016 nu se aplică prelucrării datelor cu caracter personal care privesc
persoane juridice și, în special, întreprinderi cu personalitate juridică, inclusiv numele și tipul de persoană
juridică și datele de contact ale persoanei juridice.
Art. 11. Dreptul la protecția datelor cu caracter personal nu este un drept absolut; acesta trebuie luat
în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi
fundamentale, în conformitate cu principiul proporționalității. Regulamentul UE 679/2016 respectă toate
drepturile fundamentale și libertățile și principiile recunoscute în cartă astfel cum sunt consacrate în tratate,
în special respectarea vieții private și de familie, a reședinței și a comunicațiilor, a protecției datelor cu
caracter personal, a libertății de gândire, de conștiință și de religie, a libertății de exprimare și de informare,
a libertății de a desfășura o activitate comercială, dreptul la o cale de atac eficientă și la un proces echitabil,
precum și diversitatea culturală, religioasă și lingvistică.
Art. 12. Evoluțiile tehnologice rapide și globalizarea au generat noi provocări pentru protecția
datelor cu caracter personal. Amploarea colectării și a schimbului de date cu caracter personal a crescut în
mod semnificativ. Tehnologia permite atât societăților private, cât și autorităților publice să utilizeze date
cu caracter personal la un nivel fără precedent în cadrul activităților lor. Din ce în ce mai mult, persoanele
fizice fac publice la nivel mondial informații cu caracter personal. Tehnologia a transformat deopotrivă
economia și viața socială și ar trebui să faciliteze în continuare libera circulație a datelor cu caracter personal
în cadrul Uniunii și transferul către țări terțe și organizații internaționale, asigurând, totodată, un nivel
ridicat de protecție a datelor cu caracter personal.
Art. 13. Pentru buna funcționare a pieței interne este necesar ca libera circulație a datelor cu caracter
personal în cadrul Uniunii să nu fie restricționată sau interzisă din motive legate de protecția persoanelor
fizice în ceea ce privește prelucrarea datelor cu caracter personal. Așadar, libera circulație a datelor cu
caracter personal în interiorul Uniunii nu poate fi restricționată sau interzisă din motive legate de protecția
persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.
a) prelucrării datelor cu caracter personal în cadrul activităților derulate la sediul unui operator sau al
unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau
nu pe teritoriul Uniunii;
b) prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un
operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când
activitățile de prelucrare sunt legate de (i) oferirea de bunuri sau servicii unor astfel de persoane
vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăți de către persoana vizată,
sau (ii) monitorizarea comportamentului dacă acesta se manifestă în cadrul Uniunii;
c) prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-
un loc în care dreptul intern se aplică în temeiul dreptului internațional public.
a) persoana vizată - persoana fizică ale cărei date cu caracter personal sunt prelucrate:
i) date personale ale clienților persoane fizice;
ii) date personale ale partenerilor persoane fizice;
iii) date personale ale persoanelor fizice care au calitatea de reprezentanți legali sau convenționali ai
clienților sau partenerilor persoane juridice;
iii) administratorii, directorii, mandatarii ori salariații operatorului;
b) a colecta - a strânge, a aduna, a primi date cu caracter personal de la persoanele prevăzute la lit. a);
c) a dezvălui - a transmite, a disemina, a face disponibile în orice alt mod date cu caracter personal, în afara
operatorului;
d) a utiliza - a se folosi datele cu caracter personal de către și în interiorul operatorului;
e) nivel de protecție şi de securitate adecvat al prelucrărilor de date cu caracter personal - nivelul de
securitate proporțional riscului, pe care îl comportă prelucrarea față de datele cu caracter personal respective
şi faţă de drepturile şi libertățile persoanelor şi conform cerințelor minime de securitate a prelucrărilor de
date cu caracter personal, elaborate de autoritatea de supraveghere şi actualizate corespunzător stadiului
dezvoltării tehnologice şi costurilor implementării acestor măsuri.
Art. 17. (1) .............................. S.R.L. prelucrează datele cu caracter personal respectând principiul
transparenței. Orice informații și comunicări referitoare la prelucrarea respectivelor date cu caracter
personal sunt ușor accesibile și ușor de înțeles și că se utilizează un limbaj simplu și clar.
(2) În virtutea acestui principiu, persoanele vizate sunt informate cu privire la identitatea
operatorului și scopurile prelucrării, precum și la oferirea de informații suplimentare, pentru a asigura o
prelucrare echitabilă și transparentă în ceea ce privește persoanele fizice vizate și dreptul acestora de a li se
confirma și comunica datele cu caracter personal care le privesc care sunt prelucrate.
(3) Persoanele fizice vizate sunt informate cu privire la riscurile, normele, garanțiile și drepturile în
materie de prelucrare a datelor cu caracter personal și cu privire la modul în care să își exercite drepturile
în legătură cu prelucrarea. În special, scopurile specifice în care datele cu caracter personal sunt prelucrate
sunt explicite și legitime și determinate la momentul colectării datelor respective.
(g) șterse dacă nu mai sunt necesare și dacă termenul de păstrare s-a împlinit. În vederea asigurării
faptului că datele cu caracter personal nu sunt păstrate mai mult timp decât este necesar, sunt stabilite
de către operator termene pentru ștergere sau revizuirea periodică.
Capitolul VI. Scopurile prelucrării datelor cu caracter personal. Temeiurile legale ale prelucrării
Art. 19. Datele cu caracter personal colectate de operatorul .....................S.R.L. sunt prelucrate:
Art. 20. (1) Prelucrarea datelor cu caracter personal în alte scopuri decât scopurile pentru care datele
cu caracter personal au fost inițial colectate este permisă doar atunci când prelucrarea este compatibilă cu
scopurile respective pentru care datele cu caracter personal au fost inițial colectate.
(2) Temeiul juridic prevăzut în dreptul Uniunii sau în dreptul intern pentru prelucrarea datelor cu
caracter personal poate constitui, de asemenea, un temei juridic pentru prelucrarea ulterioară.
(3) Pentru a stabili dacă scopul prelucrării ulterioare este compatibil cu scopul pentru care au fost
colectate inițial datele cu caracter personal, operatorul, după ce a îndeplinit toate cerințele privind legalitatea
prelucrării inițiale, va ține seama, printre altele, de orice legătură între respectivele scopuri și scopurile
prelucrării ulterioare preconizate, de contextul în care au fost colectate datele cu caracter personal, în special
de așteptările rezonabile ale persoanelor vizate, bazate pe relația lor cu operatorul, în ceea ce privește
utilizarea ulterioară a datelor, de natura datelor cu caracter personal, de consecințele prelucrării ulterioare
preconizate asupra persoanelor vizate, precum și de existența garanțiilor corespunzătoare atât în cadrul
operațiunilor de prelucrare inițiale, cât și în cadrul operațiunilor de prelucrare ulterioare preconizate.
Art. 21. (1) Prelucrarea datelor cu caracter personal legate de originea rasială sau etnică, de
convingerile politice, religioase, filozofice sau de natură similară, de apartenența sindicală, precum şi a
datelor cu caracter personal privind starea de sănătate sau viața sexuală este interzisă.
(2) Prevederile alin. (1) nu se aplică în următoarele cazuri:
a) când persoana vizată și-a dat în mod expres consimțământul pentru o astfel de prelucrare, cu
excepția cazului în care dreptul Uniunii Europene sau dreptul intern prevede ca interdicția prevăzută la
alineatul (1) să nu poată din ridicată prin consimțământul persoanei vizate;
b) când prelucrarea este necesară în scopul respectării obligațiilor sau drepturilor specifice ale
operatorului în domeniul dreptului muncii, al securității și protecției sociale, cu respectarea garanțiilor
prevăzute de lege; o eventuală dezvăluire către un terț a datelor prelucrate poate fi efectuată numai dacă
există o obligație legală a operatorului în acest sens sau dacă persoana vizată a consimțit expres la această
dezvăluire;
c) când prelucrarea este necesară pentru protecția vieții, integrității fizice sau a sănătății persoanei
vizate ori a altei persoane, în cazul în care persoana vizată se află în incapacitate fizică sau juridică de a-și
da consimțământul;
d) când prelucrarea este efectuată în cadrul activităților sale legitime de către o fundație, asociație
sau de către orice altă organizație cu scop nelucrativ şi cu specific politic, filozofic, religios ori sindical, cu
condiția ca persoana vizată să fie membră a acestei organizații sau să întrețină cu aceasta, în mod regulat,
relații care privesc specificul activității organizației și ca datele să nu fie dezvăluite unor terți fără
consimțământul persoanei vizate;
e) când prelucrarea se referă la date făcute publice în mod manifest de către persoana vizată;
f) când prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în justiție;
g) când prelucrarea este necesară în scopuri de medicină preventivă, de stabilire a diagnosticelor
medicale, de administrare a unor îngrijiri sau tratamente medicale pentru persoana vizată ori de gestionare
a serviciilor de sănătate care acționează în interesul persoanei vizate, cu condiția ca prelucrarea datelor
respective să fie efectuate de către ori sub supravegherea unui cadru medical supus secretului profesional
sau de către ori sub supravegherea unei alte persoane supuse unei obligații echivalente în ceea ce privește
secretul;
h) când legea prevede în mod expres aceasta în scopul protejării unui interes public important/major,
cu condiția ca prelucrarea să se efectueze cu respectarea drepturilor persoanei vizate şi a celorlalte garanții
prevăzute legale.
(3) Prevederile alin. (2) nu aduc atingere dispozițiilor legale care reglementează obligația
autorităților publice de a respecta şi de a ocroti viața intimă, familială şi privată.
Art. 22. Prelucrarea datelor cu caracter personal referitoare la săvârșirea de infracțiuni de către
persoana vizată ori la condamnări penale, măsuri de siguranță sau sancțiuni administrative ori
contravenționale, aplicate persoanei vizate, poate fi efectuată numai de către sau sub controlul autorităților
publice, în limitele puterilor ce le sunt conferite prin lege şi în condițiile stabilite de legile speciale care
reglementează aceste materii. Orice registru cuprinzător al condamnărilor penale se ține numai sun
controlul unei autorității de stat.
Art. 23. (1) ...................... S.R.L. prelucrează următoarele date cu caracter personal:
a) Date despre clienți, inclusiv numele, prenumele și data nașterii clientului care solicită serviciile
operatorului, parteneri comerciali și reprezentanți ai acestora. Prelucrarea datelor pentru o relație
contractuală
Datele personale ale eventualilor clienți, clienți existenți și parteneri, precum și ale persoanelor
fizice ce îi reprezintă, pot fi procesate în scopul încheierii, executării și finalizării unui contract. Datele cu
caracter personal sunt prelucrate și în cursul negocierilor precontractuale, spre exemplu pentru a pregăti
oferte sau ale documente în scopul încheierii contractului. Persoanele vizate pot fi contactate în timpul
negocierilor/procesului de pregătire a contractului folosind informațiile persoanele pe care acestea le-au
furnizat. Orice restricții solicitate de persoanele vizate în timpul negocierilor trebuie respectate. De regulă,
sunt prelucrate următoarele categorii de date cu caracter personal: i) numele și prenumele (ii) data nașterii
(iii) locul nașterii (iii) domiciliul (iii) seria și numărul cărții de identitate (iv) codul numeric personal (v)
numărul de telefon (v) e-mail (vi) informații și date legate de pregătirea educațională și profesională (vii)
informații și date legate de profesia și funcția exercitată.
c) Datele salariaților sau ale persoanelor asimilate salariaților (administratori, manageri, directori, etc)
Operatorul prelucrează (i) numele și prenumele (ii) data nașterii (iii) locul nașterii (iii) domiciliul
(iii) seria și numărul cărții de identitate (iv) codul numeric personal (v) numărul de telefon (v) e-mail (vi)
informații și date legate de pregătirea educațională și profesională (vii) informații și date legate de profesiile
și funcțiile exercitate.
(2) .............. S.R.L. nu prelucrează datele cu caracter personal ale copiilor pentru crearea de profiluri
de personalitate sau de utilizator.
Art. 24. În virtutea art. 12 din Regulamentul UE 679/2016 privind transparența informațiilor, a
comunicărilor și a modalităților de exercitare a drepturilor persoanelor vizate, operatorul va lua măsuri
adecvate pentru a furniza persoanei vizate orice informații legate de drepturile persoanelor vizate. În acest
sens, operatorul va adopta Procedura privind exercitarea drepturilor persoanelor vizate pentru garantarea
următoarelor drepturi:
Dreptul de a fi informat. Persoana vizată are dreptul de a primi informații clare, transparente, ușor
de înțeles și ușor accesibile cu privire la modul în care sunt prelucrate datele sale, inclusiv detalii privind
drepturile sale, în calitate de persoană vizată.
Dreptul de acces la date. Persoana vizată are dreptul de a accesa datele prelucrate despre ea, fără a
percepe vreun fel de taxă la primele furnizări de date.
Dreptul la rectificarea datelor. În cazul în care persoana vizată identifică că datele sale sunt
prelucrate incorecte, incomplet sau inexacte poate solicita rectificarea acestora.
Dreptul de ștergere a datelor (dreptul de a fi uitat). Persoana vizată are dreptul de a solicita ștergerea
datelor tale în situațiile prevăzute în Procedura privind exercitarea drepturilor persoanelor vizate
Dreptul de a restricționa prelucrarea. Persoana vizată are dreptul de a obține din partea operatorului
restricționarea prelucrării datelor în oricare dintre situațiile Procedura privind exercitarea drepturilor
persoanelor vizate.
Dreptul de a se opune marketing-ului direct (inclusiv profilarea în scop de marketing
direct). Persoana vizată se poate opune oricând și dezabona la comunicările de marketing direct în orice
moment.
Dreptul de a se opune prelucrării bazate pe interes legitim. Persoana vizată se poate opune în orice
moment oricărei prelucrări de date atunci când la o astfel de prelucrare se bazează pe interesul legitim al
operatorului.
Dreptul de portabilitate. Persoana vizată are dreptul de a primi datele cu caracter personal care o
privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi
citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului
căruia i-au fost furnizate datele cu caracter personal, în cazurile prevăzute de art. 20 alin. (1) din
Regulamentul UE nr. 679/2016.
Dreptul de a face plângeri la autoritatea de supraveghere. Persoana vizată are dreptul să depună
orice plângeri în fața Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal
(„A.N.S.P.D.C.P.”) asupra modului în care îi sunt prelucrate datele tale personale.
Art. 26. Orice persoană care acționează sub autoritatea operatorului sau a persoanei împuternicite,
inclusiv persoana împuternicită, care are acces la date cu caracter personal, nu poate să le prelucreze decât
pe baza instrucțiunilor operatorului, cu excepția cazului în care acționează în temeiul unei obligații legale.
Art. 28. În măsura în care vor fi incidente dispozițiile art. 30 din Regulamentul UE nr. 679/2016
privind evidențele activităților de prelucrare, operatorul va întocmi și păstra evidențe ale activităților de
prelucrare aflate în responsabilitatea sa. Operatorul cooperează, la cerere, cu autoritatea de supraveghere
în îndeplinirea sarcinilor lor, și va pune la dispoziția acesteia, la cerere, aceste evidențe, pentru a putea fi
utilizate în scopul verificării operațiunilor de prelucrare respective.
Art. 29. În măsura în care vor fi incidente dispozițiile art. 37 din Regulamentul UE nr. 679/2016
privind desemnarea operatorului de date cu caracter personal, operatorul va desemna responsabilul cu
protecția datelor ținând seama și de prevederile art. 38 și 39 din Regulamentul UE nr. 679/2016.
Art. 30. În măsura în care vor fi incidente dispozițiile art. 35 din Regulamentul UE nr. 679/2016
privind evaluarea impactului asupra protecției datelor, operatorul va întocmi evaluarea anterior prelucrării
datelor solicitând avizul responsabilului cu protecția datelor dacă acesta a fost desemnat.
Art. 31. (1) Dacă nu este soluționată la timp și într-un mod adecvat, o încălcare a securității datelor
cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum
ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare,
furt sau fraudă de identitate, pierdere financiară, inversarea neautorizată a pseudonimizării, compromiterea
reputației, pierderea confidențialității datelor cu caracter personal protejate prin secret profesional sau orice
alt dezavantaj semnificativ de natură economică sau socială adus persoanei fizice în cauză.
(2) De îndată ce a luat cunoștință de producerea unei încălcări a securității datelor cu caracter
personal, operatorul va notifica încălcarea autorității de supraveghere, fără întârziere nejustificată și, dacă
este posibil, în cel mult 72 de ore după ce a luat la cunoștință de existența acesteia, cu excepția cazului în
care operatorul este în măsură să demonstreze, în conformitate cu principiul responsabilității, că încălcarea
securității datelor cu caracter personal nu este susceptibilă să genereze un risc pentru drepturile și libertățile
persoanelor fizice. Atunci când notificarea nu se poate realiza în termen de 72 de ore, aceasta va cuprinde
motivele întârzierii, iar informațiile pot fi furnizate treptat, fără altă întârziere.
(3) Operatorul va comunica persoanei vizate încălcarea securității datelor cu caracter personal, fără
întârzieri nejustificate, atunci când încălcarea este susceptibilă să genereze un risc ridicat pentru drepturile
și libertățile persoanei fizice, pentru a-i permite să ia măsurile de precauție necesare. Comunicarea trebuie
să descrie într-un limbaj clar și simplu natura încălcării securității datelor cu caracter personal și să cuprindă
datele de contact ale responsabilului cu protecția datelor sau alt punct de contact de unde se pot obține mai
multe informații, consecințele probabile ale încălcării securității datelor cu caracter persona, precum și
recomandările pentru persoana fizică în cauză în scopul atenuării eventualelor efecte negative.
(4) Comunicările către persoanele vizate vor fi efectuate în cel mai scurt timp posibil în mod
rezonabil și în strânsă cooperare cu autoritatea de supraveghere, respectându-se orientările furnizate de
aceasta sau de alte autorități competente, cum ar fi autoritățile de aplicare a legii. De exemplu, necesitatea
de a atenua un risc imediat de producere a unui prejudiciu ar presupune comunicarea cu promptitudine către
persoanele vizate, în timp ce necesitatea de a implementa măsuri corespunzătoare împotriva încălcării în
continuare a securității datelor cu caracter personal sau împotriva unor încălcări similare ale securității
datelor cu caracter personal ar putea justifica un termen mai îndelungat pentru comunicare.
(5) Informarea persoanei vizate nu este necesară în cazul în care oricare dintre următoarele condiții
este îndeplinită:
a) operatorul a implementat măsuri de protecție tehnice și organizatorice adecvate, iar aceste măsuri
au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securității datelor cu caracter
personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei
persoane care nu este autorizată să le acceseze, cum ar fi criptarea;
b) operatorul a luată măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile și
libertățile persoanelor vizate nu mai este susceptibil să se realizeze;
c) ar necesita un efort disproporționat. În această situație, se efectuează în loc o informare publică
sa se ia o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.
Art. 32. (1) Fluxurile de date cu caracter personal către și dinspre țări situate în afara Uniunii
Europene (state terțe) și organizații internaționale pot fi necesare pentru dezvoltarea activităților desfășurate
de operator, aria sa de activitate fiind comerțul. Operatorul este informat că în cazul în care se transferă
date cu caracter personal din Uniunea Europeană către operatori, persoane împuternicite de operatori sau
alți destinatari din țări terțe sau organizații internaționale, nivelul de protecție a persoanelor fizice asigurat
în Uniune nu ar trebui să fie diminuat. În acest sens, un transfer va avea loc numai dacă, sub rezerva
respectării celorlalte dispoziții ale Regulamentului UE nr. 679/2006, operatorul sau persoana împuternicită
de operator îndeplinește condițiile prevăzute de dispozițiile Regulamentului UE nr. 679/2006 privind
transferul de date cu caracter personal către țări terțe sau organizații internaționale.
(2) Transferul de date cu caracter personal în afara spațiului Uniunii Europene poate avea loc numai
dacă în următoarele situații:
a) Comisia Europeană a emis decizie de adecvare în baza căreia s-a constatat că țara terță, un
teritoriu ori unul sau mai multe sectoare specificate din acea țară sau organizația internațională în cauză
asigură un nivel de protecție adecvat. Transferurile realizate în aceste condiții nu necesită autorizări
speciale. Lista țărilor care îndeplinesc la data prezentului Regulament cerințele de adecvare ale Comisiei
este publicată în Jurnalul Oficial al Uniunii Europene:
http://ec.europa.eu/justice/dataprotection/internațional-transfers/adequacy/index_en.htm;
b) în lipsa unei decizii de adecvare, transferul datelor cu caracter personal într-o țară terță sau într-
o organizație internațională poate avea loc numai în una dintre următoarele condiții:
- persoana vizată și-a exprimat în mod explicit acordul cu privire la transferul propus, după ce a fost
informată asupra posibilelor riscuri pe care astfel de transferuri le pot implica pentru persoana vizată ca
urmare a lipsei unei decizii privind caracterul adecvat al nivelului de protecție și a unor garanții adecvate;
- transferul este necesar pentru executarea unui contract între persoana vizată și operator sau pentru
aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate;
- transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat
în interesul persoanei vizate între operator și o altă persoană fizică sau juridică;
- transferul este necesar din considerente importante de interes public;
- transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanță;
- transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau a alte persoana,
atunci când persoana vizată nu are capacitatea fizică sau juridică de a-și exprima acordul.
Art. 33. Garantul respectării dreptului la protecția datelor cu caracter personal Autoritatea
Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), cu sediul în
București bd. G-ral Gheorghe Magheru, nr.28-30, Sector 1.
Art. 35. Anexele nr. 1-5 fac parte din prezentul Regulament și conțin:
1) Recomandările organizatorice și tehnice pentru îndeplinirea obligațiilor referitoare la asigurarea
confidențialității datelor și informațiilor, pentru păstrarea acestora în siguranță și pentru
securitatea și controlul sistemelor informatice;
2) Angajamentul de confidențialitate al salariaților;
3) modelul Declarației de consimțământ pentru prelucrarea datelor;
4) modelul de Act adițional privind activitățile de prelucrare a datelor cu caracter personal ale
operatorului;
5) modelul de Notificare a Autorității de Supraveghere în cazul unui incident de securitate a
datelor.
Art. 36. În virtutea art. 12 din Regulamentul UE 679/2016 privind transparența informațiilor, a
comunicărilor și a modalităților de exercitare a drepturilor persoanelor vizate, ................. S.R.L. ia măsuri
adecvate pentru a furniza persoanei vizate orice informații legate de drepturile persoanelor vizate conform
Procedurii privind exercitarea drepturilor persoanelor vizate.
Art. 37. Prezentul Regulament împreună cu anexele a fost adoptat de operatorul ........... S.R.L. la
data de ............... și întră în vigoare începând cu această dată.
..........................
reprezentată de administrator ____________
Anexa nr. 1
Recomandări organizatorice și tehnice pentru aplicarea Regulamentului
Recomandări organizatorice
(1) Prelucrarea datelor cu caracter personal va fi permis numai angajaților operatorului în vederea
îndeplinirii obligaților de serviciu și persoanelor autorizate în mod expres de operator.
(2) Salariații operatorului vor fi instruiți cu privire la obligațiile ce le incumbă potrivit Regulamentului UE
nr. 679/2016 atunci când prelucrează date cu caracter personal în vederea asigurării integrității și
confidențialității datelor cu caracter personal.
(3) Accesul persoanelor străine în zonele unde se prelucrează date cu caracter personal se poate face numai
după primirea acceptului din partea operatorului prin însoțirea acestora de către un salariat al operatorului.
(4) Accesul personalului ce asigură serviciile de curățenie se va face în baza unui contract cu o entitate
autorizată care îndeplinește la rândul ei, condițiile din Regulament. Se va elabora un protocol privind
accesul personalului în spațiile de lucru ale operatorului atât în timpul cât și în afara programului de lucru
al operatorului.
(5) Crearea unui spațiu de arhivare fizică a actelor care conțin date cu caracter personal ce va respecta
cerințele esențiale prevăzute în normativele privind caracteristicele tehnice și funcționale ale spațiilor și
echipamentelor de depozitare și conservare a arhivelor. Arhiva va fi încuiată iar accesul va fi permis numai
salariaților operatorului și persoanelor autorizate în mod expres de operator. În vederea identificării
spațiului de arhivare și a dotării acestuia se recomandă consultarea unui specialist în domeniul arhivelor.
(6) Pentru evitarea prelucrării necontrolate a datelor operatorul va limita accesul la datele cu caracter
personal, va limita prelucrarea la ceea ce este necesar în raport de scopurile în care sunt prelucrate
„reducerea la minimum a datelor” și va interzice copierea datelor în afara locurilor în care acestea sunt
gestionate.
(7) Tehnica de calcul utilizată în procesul de prelucrare a datelor cu caracter personal va fi amplasată în
spații identificate și protejate, accesibile numai salariaților operatorului și persoanelor autorizate în mod
expres de operator.
(8) Operatorul și salariații acestuia vor evita:
divulgarea parolelor/codurilor de securitate care le-au fost alocate în vederea utilizării tehnicii de
calcul;
stocarea parolelor/codurilor de securitate în fișiere necriptate sau programe de gestiune a parolelor
în care a fost restricționat accesul, notarea acestora pe hârtie sau în locuri ușor accesibile
persoanelor neautorizate;
înregistrarea parolelor într-un browser fără parolă master;
utilizarea parolelor având legătură cu utilizatorul (nume, data nașterii, etc);
păstrarea parolelor presetate;
trimiterea pe adresa proprie de e-mail a parolelor;
crearea sau utilizarea de conturi comune mai multor persoane;
acordarea de drepturi de administrator unor utilizatori care nu dețin drepturi sau cunoștințe de
utilizare a tehnicii de calcul;
omiterea ștergerii conturilor de utilizator ale persoanelor care au părăsit locul de muncă sau care
și-au schimbat funcția;
utilizarea sistemelor de exploatare învechite și neactualizate;
plasarea bazelor de date pe un server direct accesibil de pe internet;
păstrarea copiilor de rezervă în același loc cu dispozitivele ce găzduiesc datele întrucât un dezastru
major în acel loc va aduce la pierderea definitivă a datelor;
transmiterea fișierelor ce conțin date cu caracter personal prin intermediul rețelelor de socializare.
(9) Datele cu caracter personal vor putea fi copiate pe suport mobil (memorie externă, stick USB, CD,
laptop, tabletă, telefon, etc.) numai în cazurile apreciate ca fiind strict necesare și numai dacă suportul a
fost securizat, astfel încât datele pe care le conține să nu poată fi citite/recuperate/copiate/extrase de pe
suport, decât cu introducerea unui cod special de securitate.
(10) Tipărirea/fotocopierea datelor cu caracter personal se va realiza numai de salariații operatorului strict
în scopul îndeplinirii sarcinilor de serviciu. Accesul la echipamentele ce deservesc aceste operațiuni se va
face în baza unui cod alocat fiecărui salariat, ce va permite monitorizarea operațiunilor efectuate.
(11) În caz de utilizare a faxului, instalarea acestuia se va face într-o locație controlată și accesibilă doar de
personalul autorizat
(12) Reziduurile în format de hârtie care conțin date cu caracter personal vor fi distruse într-un mod
securizat, de exemplu, cu dispozitive de tocat hârtii sau prin angajarea unui specialist în domeniu.
(13) Intervențiile asupra programelor informatice instalate pe echipamentele care prelucrează date cu
caracter personal se va face doar cu acordul prealabil al responsabilului desemnat de operator.
(14) Intervențiile asupra echipamentelor hardware ale tehnicii de calcul se va face doar cu acordul prealabil
al responsabilului desemnat de operator.
(15) Este interzisă modificarea sau scoaterea din funcțiune a dispozitivelor de securitate ale operatorului.
(16) Spațiile unde se prelucrează datele cu caracter personal vor fi dotate cu alarmă anti-incendiu,
detectoare de fum și extinctoare/sisteme automatizate de stingere a incendiilor.
(17) În situația în care este necesar să se intervină asupra instalațiilor existente și a echipamentelor aflate
sub tensiune (calculatoare, copiatoare, etc) se recomandă ca aceste intervenții să fie efectuate de persoane
autorizate care prestează servicii în baza unor contracte, cu excepția situațiilor de urgență când sunt puse în
pericol sănătatea sau viața persoanelor.
(18) La apariția unui incident de securitate salariații operatorului sunt obligați să raporteze de îndată
responsabilului cu protecția datelor detaliile cu privire la incident și să respecte instrucțiunile primite de la
acesta. Astfel, incidentul va putea fi monitorizat și remediat în cel mai scurt timp. În acest sens, operatorul
va desemna persoana responsabilă pentru protecția datelor.
Recomandări tehnice
(19) Tehnica de calcul folosită la prelucrarea datelor cu caracter personal vor fi licențiate și vor avea asigurat
suport tehnic din partea producătorului (Microsoft Windows, etc.).
(20) Sistemele IT de prelucrare a datelor vor fi dotate cu sisteme de protecție împotriva riscurilor de
securitate provenind din folosirea internetului, sisteme de protecție a rețelei de date, programe antivirus,
etc.
(21) Dispozitivele pe care sunt stocate date cu caracter personal vor conține programe pentru criptarea
datelor astfel încât în cazul unui furt al dispozitivului sau al datelor, acestea să nu poată fi accesate de către
persoanele neautorizate.
(22) Efectuarea periodică de update-uri/upgrade-uri ale sistemelor de operare și ale celorlalte programe
utilizate, ale bazelor de date ce stochează informații cu caracter personal, baze de date folosite de sistemul
antivirus, programe adiționale, etc.
(23) Configurarea de software-uri pentru ca actualizările de securitate să se realizeze automat, în cel mai
scurt timp posibil.
(24) Pentru dispozitivele mobile (laptopuri, telefoane, tablete, etc.) utilizate în cadrul prelucrărilor de date
cu caracter personal trebuie asigurată securitatea datelor precum și securitatea fizică a dispozitivelor
hardware utilizate.
(25) Pentru protejarea datelor cu caracter personal se vor aplica măsuri de sporire a securității: generare
parole complexe, stocarea parolelor în medii sigure, utilizarea cheilor de securitate hardware/software,
interzicerea traficului de date cu caracter personal prin rețele de socializare sau în medii de stocare virtuale
ce nu oferă garanții de siguranță minimă.
(26) Stațiile de lucru vor fi prevăzute cu un mecanism de blocare automată a sesiunii, în caz de neutilizare
a postului pentru o anumită perioadă de timp.
(27) În cazul în care mediile informatice pe care au fost stocate date sunt schimbate ori scoase din uz, se va
asigura distrugerea datelor astfel încât acestea să nu poată fi recuperate/accesate.
Operatorul va lua toate măsurile pentru aplicarea efectivă a recomandărilor în scopul conformării cerințelor
Regulamentului UE nr. 679/2016 și va urmări aplicarea acestora.
Anexa nr. 2
Părți
...............S.R.L., cu sediul social în București, ............... sector 2, număr de ordine în Registrul Comerțului:
J.............atribuit pe data de ............., cod unic de înregistrare: ............., reprezentată de
_____________________ cu funcția de _____________ în calitate de Angajator
şi
Obiect
Obiectul angajamentului de confidențialitate îl reprezintă informațiile pe care le obține Salariatul ca efect
al executării contractului de muncă, care sunt strict confidențiale.
- datele cu caracter personal ale personalului societății, ale clienților, partenerilor de afaceri și ale
reprezentanților acestora;
- situația financiară, licențele și brevetele de invenție;
- proiectele de afaceri;
- produsele și serviciile nelivrate pieței;
- documente care reprezintă poziția de piață a Angajatorului;
- orice alte acte aparținând Angajatorului pe care Salariatul le are la dispoziție
Durata
Salariatul are obligația să păstreze secretul profesional cu privire la actele și faptele despre care a luat
cunoștință în cadrul activității sale, chiar și după încetarea raporturilor de muncă, cu excepția cazurilor în
care legea sau părțile interesate în eliberează de această obligație.
Răspunderea
Răspunderea juridică a salariatului poate fi angajată în condițiile legii civile pentru încălcarea obligațiilor
sale profesionale, atunci când aceasta a cauzat cu vinovăție un prejudiciu angajatorului.
Angajator, Salariat,
Anexa nr. 3
Declarația de consimțământ pentru prelucrarea datelor
Data completării:
ACT ADITIONAL
cu privire la Activitatile de Prelucrare a Datelor cu Caracter Personal ale
[denumirea Clientului]
Prezentul Act Aditional cu privire la activitatile de prelucrare a datelor cu caracter personal, denumit in
continuare “Act Aditional”, este incheiat la data de [ ], de catre si intre si face parte integranta din
Contractul nr. [ ] din data de [ ]:
............ S.R.L., cu sediul social în București, ............... sector 2, număr de ordine în Registrul Comerțului:
J40/......... atribuit pe data de ..........., cod unic de înregistrare: ..........., denumita in continuare “Operator”
sau “Beneficiar”
si
----………… S.R.L., persoana juridica romana avand sediul in [ ], inregistrata la Registrul Comertului cu
nr. [ ], avand cod fiscal [ ], reprezentata prin [ ], in calitate de [ ], denumita in continuare “Imputernicit”
sau “Furnizor”,
denumite in mod individual “Partea” sau in mod colectiv “Partile”.
1. Preambul
2. Definitii
2.1. “Date Personale” sau “Datele Personale ale Operatorului” inseamna orice date cu caracter
personal, astfel cum sunt acestea definite in Regulament, furnizate de Operator sau colectate sau
prelucrate de catre Imputernicit in numele Operatorului, in legatura cu Serviciile furnizate catre
Operator prin Contractul sau Contractele mentionate in Anexa nr. 1, si orice alte date cu caracter
personal prelucrate sub instructiunile Operatorului, in scopul indeplinirii Contractului sau
Contractelor mentionate in Anexa nr. 1.
2.2. “Legislatie Aplicabila” inseamna oricare si toate legile si prevederile, normele de aplicare si
reglementarile aplicabile prelucrarii datelor cu caracter personal, protectiei si securitatii acestora,
orice modificari ulterioare, actualizari ale acestora si alte asemenea.
2.3. “Data Actului Aditional” inseamna data la care a fost incheiat prezentul document, astfel cum
acest lucru este inscris pe prima pagina a acestuia.
2.4. “Regulament” inseamna Regulamentul nr. 679 din 27 aprilie 2016 privind protectia persoanelor
fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor
date si de abrogare a Directivei 95/46/CE, emis de Parlamentul European si Consiliul Uniunii
Europene, care intra in vigoare la data de 25 mai 2018.
2.5. Denumirile de “Operator”, “Imputernicit” sau “Persoana Imputernicita de Operator”,
“Autoritate de Supraveghere”, “Tari Terte”, “Prelucrare”, “Persoana Vizata” vor avea aceeasi
semnificatie cu cea definita si aratata in Regulament.
2.6. “Incident de Securitate” inseamna incalcarea securitatii datelor cu caracter personal, astfel cum
aceasta este definita in Regulament.
2.7. “Afiliati” sau “Membru Afiliat” inseamna orice entitate juridica care controleaza sau este
controlata de, sau are controlul comun cu, una dintre Partile acestui Act Aditional.
2.8. “Subcontractor” inseamna in prezentul Act Aditional orice imputernicit recrutat de catre Furnizor
si orice subcontractor al acestuia care, dupa ce a fost autorizat de Operator, este de acord sa
primeasca de la Imputernicit sau de la un subcontractor al acestuia orice Date Personale, exclusiv
in scopul operatiunilor de prelucrare, care sa fie efectuate in numele si in conformitate cu
instructiunile Operatorului in termenii si conditiile prezentul Act Aditional si in baza unui acord de
subcontractare incheiat in acest scop. Oricare entitate care este membra a grupului de firme din care
face parte Imputernicitul si care poate deveni implicata in derularea Serviciilor si in prelucrarea sau
accesul doar la Datele Personale va fi, de asemenea, considerata Subcontractor.
2.9. Partile convin ca orice alti termeni folositi in prezentul Act Aditional si care nu au fost definiti in
mod specific in prezentul document sa fie interpretati in conformitate cu terminologia si
semnificatiile acestora din Regulament.
3.1. Operatorul autorizeaza Imputernicitul, doar in scopul si pe durata Contractului, sa prelucreze Datele
Personale necesare pentru prestarea Serviciilor catre Operator. Detaliile cu privire la activitatile de
prelucrare incredintate Imputernicitului sunt specificate in Anexa nr. 2 la prezentul Act Aditional.
3.2. Operatorul este de acord ca Imputernicitul sa prelucreze date despre apartenenta religioasa a
angajatilor sai, in scopul acordarii zilelor libere cu ocazia sarbatorilor religioase, date despre starea
de sanatate pentru inregistrarea concediilor medicale si de crestere a copilului, date medicale legate
de medicina muncii. starea de sanatate pentru inregistrarea concediilor medicale si de crestere a
copilului, date medicale legate de medicina muncii. Imputernicitul va cere aprobarea explicita a
Operatorului pentru prelucrarea oricaror alte Date Personale, in plus fata de cele enumerate mai sus,
care dezvaluie rasa sau originea etnica, optiuni politice, religioase, filosofice, sau apartenente la
sindicate, sau date genetice, biometrice pentru scopul identificarii in mod unic al unei persoane,
date privind sanatatea sau date privind viata sexuala sau orientarea sexuala, oricare dintre acestea.
3.1. Imputernicitul este de acord si garanteaza ca implementeaza masurile de protectie de ordin fizic,
logistic, tehnic si organizationale necesare sa asigure protectia Datelor Personale, adaptate la
riscurile activitatilor de prelucrare desfasurate, inclusiv, dar fara a se limita la, acele masuri
impotriva distrugerii accidentale sau nelegale, pierderii sau modificarii/alterarii sau accesului
neautorizat al Datelor Personale de catre terti.
3.2. In scopul clauzei 6.1. de mai sus, Imputernicitul este de acord si garanteaza implementarea a cel
putin urmatoarelor masuri si, de asemenea, garanteaza ca se va asigura ca angajatii sai vor adera si
se vor conforma la acestea:
3.2.1. toate persoanele autorizate sa prelucreze Datele Personale ale Operatorului in cadrul
Serviciilor sunt subiectul unor angajamente ferme de confidentialitate sau a unor obligatii
statutare privind confidentialitatea;
3.2.2. toate persoanele implicate in prestarea Serviciilor sunt informate, instruite si organizate,
astfel incat sa fie asigurate garantii suficiente pentru protectia confidentialitatii si securitatii
Datelor Personale. Imputernicitul va actualiza in mod constant instruirea si comunicarile
catre angajatii sai care efectueaza activitati de prelucrare a Datelor Personale, in ceea ce
priveste cerintele protectiei Datelor Personale si Legislatia Aplicabila.
3.2.3. luarea tuturor masurilor care sa previna orice folosire neadecvata sau frauduloasa a Datelor
Personale, a documentelor sau informatiilor prelucrate, inclusiv, fara a se limita la:
(i) managementul accesului si autorizarii accesului, jurnalul de evenimente (event
logging), securitatea stocarii Datelor Personale si a transmiterii (exchange) acestora,
(ii) pseudonimizarea sau criptarea Datelor Personale, a arhivelor si a copiilor de rezerva a
datelor (data backup),
(iii) capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea si rezistenta
continue ale sistemelor si serviciilor de prelucrare a Datelor Personale ale Operatorului
si a locatiilor in care sunt prelucrate aceste date,
(iv) capacitatea de a restabili disponibilitatea si accesul la Datele Personale ale
Operatorului in timp util, in cazul in care are loc un incident de natura fizica sau
tehnica, si efectuarea periodica si securizarea copiilor de rezerva (backups) a tuturor
Datelor Personale ale Operatorului pe care Imputernicitul le are in posesie sau control,
(v) implementarea unui proces pentru testarea, evaluarea si auditarea periodice ale
eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii
Datelor Personale ale Operatorului;
(vi) orice alte masuri impuse de Legislatia Aplicabila.
3.3. Imputernicitul se obliga sa ia toate masurile necesare pentru a preintampina sau a face fata unui
Incident de Securitate cu privire la Datele Personale ale Operatorului.
3.3.1. In cazul in care s-a produs un Incident de Securitate in legatura cu Datele Personale sau daca
Imputernicitul are motive sa considere ca un astfel de incident s-a produs, Imputernicitul va
notifica in mod prompt Operatorul intr-un termen de maxim 48 de ore de la momentul cand
a luat la cunostinta despre aceasta.
3.3.2. Notificarea mentionata la clauza 6.3.1. de mai sus va fi transmisa cel putin pe e-mail la adresa
………………………. [ adresa comunicata de client ], avand subiectul: [numele
Imputernicitului/ Incident de Securitate]. Este permisa notificarea telefonica in situatii
urgente la numarul de telefon: …………………………, dar aceasta se considera
neefectuata, daca nu este urmata in decursul termenului de 48 de ore de notificarea scrisa pe
e-mail in conformitate cu prezenta clauza.
3.3.3. Notificarea mentionata la clauza 6.3.1. de mai sus va cuprinde cel putin urmatoarele
informatii:
(i) o descriere a naturii Incidentului de Securitate si, pe cat posibil, a impactului acestuia
asupora Datelor Personale, incluzand, de asemenea, sistemele afectate (daca sunt ale
sau in legatura cu Operatorul), categoriile si numarul aproximativ al Persoanelor
Vizate in cauza, precum si categoriile si numarul aproximativ al inregistrarilor de Date
Personale in cauza;
(ii) numele si datele de contact ale responsabilului cu protectia datelor din partea
Imputernicitului sau alt punct de contact pentru Imputernicit de unde se pot obtine mai
multe informatii in acest sens;
(iii) o descriere a riscului astfel ivit si a posibilelor consecinte ale Incidentului de
Securitate;
(iv) o descriere a masurilor luate sau propuse spre a fi luate de catre Imputernicit pentru a
remedia problema Incidentului de Securitate, inclusiv, daca este potrivit, masurile
pentru atenuarea efectelor sale negative.
3.3.4. Atunci cand situatia o impune sau nu este posibil, informatiile mentionate la clauza 6.3.3. de
mai sus pot fi transmise de catre Imputernicit in mai multe etape, fara intarzieri nejustificate,
dar intr-un interval maxim de 48 de ore de la momentul cand Imputernicitul a luat la
cunostinta despre Incidentul de Securitate.
3.3.5. Imputernicitul este de acord si garanteaza ca va colabora cu Operatorul, astfel incat acesta
din urma sa isi indeplineasca obligatiile sale de notificare a Autoritatii de Supraveghere cu
privire la Incidentul de Securitate, in conformitate cu Regulamentul si Legislatia Aplicabila.
3.3.6. Imputernicitul nu va emite nici un fel de comunicat de presa sau orice astfel de comunicare
publica in legatura cu un Incident de Securitate presupus sau care a avut efectiv loc si care
implica Datele Personale ale Operatorului, fara acordul prealabil scris al Operatorului, cu
exceptia situatiilor impuse de lege.
3.3.7. Imputernicitul va mentine inregistrari ale oricaror Incidente de Securitate cunoscute si care
sunt in legatura cu Datele Personale ale Operatorului. Imputernicitul va pune la dispozitia
Operatorului aceste inregistrari.
4. Subcontractori
4.1. Imputernicitul este de acord si garanteaza ca nu va implica nici un Subcontractor, furnizor sau orice
membru afiliat grupului de companii din care face parte, in oricare dintre activitatile de prelucrare
a Datelor Personale ale Operatorului, fara autorizarea prealabila specifica, generala, scrisa din
partea Operatorului, cu respectarea obligatiilor de informare de la art. 28 alin. (2) din Regulament.
4.2. In cazul in care autorizarea mentionata la clauza 7.1. de mai sus este data de Operator,
Imputernicitul este de acord si garanteaza ca acel contract sau act juridic pe care Imputernicitul il
incheie cu Subcontractorul autorizat de Operator va contine cel putin acele obligatii ale
Imputernicitului in legatura cu protectia datelor asumate prin prezentul Act Aditonal, astfel incat sa
se asigure indeplinirea obligatiilor asumate de catre Imputernicit prin prezentul acord, in mod
specific a obligatiilor a de a furniza garantii suficiente pentru implementarea masurilor tehnice si
organizatorice adecvate. De asemenea, Imputernicitul se va asigura ca un astfel de contract sau act
juridic incheiat cu un Subcontractor va inceta in mod automat la expirarea sau incetarea
Contractului de Servicii dintre Operator si Imputernicit.
4.3. Imputernicitul este si va ramane raspunzator fata de Operator pentru conduita Subcontractorilor
Imputernicitului in legatura cu Serviciile furnizate catre Operator si pentru orice consecinte
materiale sau morale care deriva din aceasta conduita si, in general, pentru neindeplinirea sau
indeplinirea defectuoasa de catre Subcontractor a obligatiilor subcontractate de protectie a Datelor
Personale.
4.4. Imputernicitul se obliga sa transmita imediat catre Operator, la cerere acestuia din urma, o copie a
contractului incheiat intre Imputernicit si Subcontractor, precum si o descriere a masurilor de
securitate implementate de Subcontractor. Imputernicitul poate sa elimine din continutul
contractului transmis orice fel de informatii comerciale referitoare la relatia dintre Imputernicit si
Subcontractor, iar Operatorul isi asuma obligatia de a trata astfel de contracte cu maxima
confidentialitate, cu exceptia situatiilor in care Operatorul este obligat sa divulge astfel de informatii
sau documente catre o Autoritate de Supraveghere sau alta autoritate publica sau unei Persoane
Vizate care solicita si este indreptatita la acest lucru.
4.5. In cazul in care Operatorul dispune de motive care determina ca acesta sa se opuna unui
Subcontractor, pe motivul nerespectarii de catre acest Subcontractor a prezentului Act Aditional,
Operatorul va notifica in scris Imputernicitul, iar Imputernicitul va depune eforturi rezonabile
pentru a pune la dispozitia Operatorului o modificare cu privire la Subcontractor sau va recomanda
o modificare rezonabila din punct de vedere comercial a activitatilor de prelucrare intr-o perioada
de maxim 60 de zile de la data la care Operatorul si-a exprimat opozitia sau dezacordul. In cazul in
care, in termenul dat, situatia nu este remediata de catre Imputernicit si/sau subcontractorul
respectiv, Operatorul poate notifica Imputernicitul in scris cu privire la infirmarea autorizatiei
acordate Subcontractorului cu efect imediat.
5.1. Imputernicitul va indeplini in mod prompt orice instructiune a Operatorului referitoare la accesul,
modificarea, transferul sau stergerea Datelor Personale ale Operatorului.
5.2. Imputernicitul se obliga sa informeze in scris Operatorul in maximum 3 (trei) zile lucratoare de la
data primirii,
(i) cu privire la orice solicitare, cerere, plangere primita de Imputernicit de la o Persoana Vizata
in legatura cu Datele Personale ale Operatorului prelucrate de Imputernicit, inclusiv, dar fara
a se limita la: cereri de acces, de rectificare, stergere, opozitie, portabilitate, obiect sau nu al
procesului decizional individual automatizat sau orice alte asemenea cereri, iar Imputernicitul
se obliga sa nu raspunda la astfel de cereri sau solicitari, decat cu autorizarea expresa a
Operatorului in acest sens;
(ii) in masura in care este permis de lege, cu privire la orice ordin administrativ sau judecatoresc,
cerere, mandat, citatie sau orice alt document emis de o autoritate publica, prin care se solicita
accesul sau divulgarea Datelor Personale ale Operatorului sau orice fel de detalii in legatura
cu orice aspecte legate de acestea.
5.3. Imputernicitul va asista Operatorul si va colabora cu acesta in vederea indeplinirii cerintelor legale
legate de protectia Datelor Personale in legatura cu cererile mentionate la clauza 8.2. de mai sus si
Imputernicitul va asista Operatorul, prin masuri tehnice si organizatorice adecvate, in vederea
indeplinirii obligatiei de a raspunde unor cereri de tipul celor mentionate la clauza 8.2. mai sus din
partea Persoanelor Vizate sau autoritatilor publice.
5.4. Fata de cele mentionate la clauza 8.2., Imputernicitul va colabora pe deplin cu Operatorul, in masura
permisa de lege, daca Operator doreste sa limiteze, conteste sau sa protejeze Datele Personale ale
Operatorului impotriva unui astfel de acces sau divulgare.
6.1. Imputernicitul declara ca este de acord si garanteaza ca va lua orice masuri cerute in mod rezonabil
de Operator si va asista Operatorul in vederea asigurarii conformarii acestuia cu obligatiile
referitoare la protectia Datelor Personale, in raport de Regulament si Legislatia Aplicabila si de
politicile privind prelucrarea datelor personale definite de Operator.
6.2. Astfel, Imputernicitul il va asista pe Operator, la cererea acesteia din urma, cu privire la:
(i) securitate si notificarea Incidentelor de Securitate,
(ii) evaluarea riscurilor inerente activitatilor de prelucrare a Datelor Personale si implementarea
masurilor de atenuare a acestora si asigurarea unui nivel adecvat de securitate a Datelor
Personale, luandu-se in considerare stadiul tehnicii (“state of the art”) si nivelul costurilor
de implementare raportat la riscurile si categoriile de Date Personale care trebuie protejate,
(iii) efectuarea evaluarii impactului asupra protectiei datelor, inclusiv evaluarea riscurilor, si
definirea masurilor de securitate si a mecanismelor de prevenire a acestor riscuri.
6.3. Imputernicitul este de acord si se obliga sa colaboreze cu Autoritatea de Supraveghere si Operator,
in cazul in care cea din urma face obiectul unei investigatii, control sau alte asemenea proceduri din
partea Autoritatii de Supraveghere.
7. Audit
7.1. Imputernicitul este de acord si garanteaza ca va pune la dispozitia Operatorului toate informatiile
necesare in vederea demonstrarii conformitatii Imputernicitului cu obligatiile din prezentul Act
Aditional si din Legislatia Aplicabila.
7.2. Astfel, Operatorul isi rezerva dreptul sa desfasoare orice verificare sau audit pe care il considera
necesar in vederea verificarii conformarii Imputernicitului si a oricaror Subcontractori ai acestuia
cu obligatiile prevazute in prezentul acord de Prelucrare, pe baza unei notificari scrise transmise
Imputernicitului cu 20 zile inainte de efectuare. Operatorul va desfasura un astfel de audit sau
verificare la o data agreata cu Imputernicitul, fara a afecta in mod semnificativ sau pe termen lung
activitatea curenta a Imputernicitului.
7.3. Imputernicitul garanteaza ca va permite efectuarea de audituri (inclusiv inspectii) de catre Operator
sau auditorii mandatati ai acestuia, in conditiile clauzei 10.2. si ca va participa la aceste audituri. In
acest scop Imputernicitul:
(i) va permite accesul in locatiile (sediu, puncte de lucru etc.) Imputernicitului si va determina
acelasi lucru in cazul Subcontractorilor sai; si
(ii) va furniza toate informatiile relevante si va permite accesul la toate echipamentele, software-
urile, date, dosare, fisiere, sisteme informatice si la orice alte resurse de informatii folosite in
legatura cu activitatile de prelucrare a Datelor Personale.
7.4. In cazul in care, in urma unei verificari sau audit, se constata ca Imputernicitul sau oricare dintre
Subcontractorii acestuia nu a respectat oricare dintre garantiile sau obligatiile sale, Operatorul va
solicita Imputernicitului sa ia masuri pentru remedierea respectivei incalcari, acordandu-i acestuia
un termen de remediere.
7.5. Partile sunt de acord ca aceste operatiuni de verificare si auditare sau constatarile rezultate in urma
acestora nu scutesc in nici un fel Imputernicitul de obligatiile sale contractuale in baza prezentului
Act Aditional.
7.6. Imputernicitul declara ca este de acord si garanteaza ca va permite Operatorului sau va determina
Subcontractorul sa permita Operatorului sau oricarui imputernicit al acestuia efectuarea unei
investigatii, verificari, audit sau inspectii in vederea certificarii indeplinirii obligatiilor de catre
Imputernicit sau Subcontractor mentionate la clauza 12.3. de mai jos, in aceleasi conditii permise
si garantate in prezenta clauza 10 din Actul Aditional.
8. Transferul International al Datelor Personale
8.1. Imputernicitul este de acord si garanteaza ca va efectua toate activitatile de prelucrare a Datelor
Personale ale Operatorului exclusiv pe teritoriul U.E. si ca nu va transfera si nici nu va permite
accesul la Datele Personale nici unei persoane fizice sau juridice localizate in tari terte, in sensul
Regulamentului.
8.2. Imputernicitul aduce la cunostinta Operatorului, in scris, in Anexa nr. 2 locatiile geografice unde
Datele Personale ale Operatorului sunt prelucrate de catre Imputernicit si de catre Subcontractor(i).
8.3. Imputernicitul se obliga sa informeze Operatorul cu privire la schimbari ale locatiilor geografice
unde Serviciile sunt prestate si/sau unde Datele Personale sunt prelucrate in orice maniera sau de
unde Subcontractorii acceseaza sau unde acestia prelucreaza Datele Personale, in contextul in care
aceste schimbari au loc in cadrul teritoriului UE.
8.4. In cazul unei tari terte, in sensul Regulamentului, Imputernicitul se obliga sa furnizeze insusi sau sa
obtina furnizarea din partea Subcontractorului a unui angajament cu privire la garantiile adecvate
care vor guverna un astfel de transfer a Datelor Personale, in sensul celor specificate la art. 46 din
Regulament, inclusiv incheierea de catre Imputernicit si/sau Subcontractorul respectiv si Operator
a unui set de clauze standard de protectie a datelor personale, adoptate de Autoritatea de
Supraveghere sau Comisia Europeana, dupa caz, in functie de Legislatia Aplicabila la acel moment.
9.1. Prezentul Act Aditional intra in vigoare la data semnarii lui si ramane valabil pe toate durata
Contractului privind Serviciile, incheiat intre Parti. Cu toate acestea, Acordul de Prelucrare poate
inceta si prin acordul de vointa al Partilor exprimat in scris sau in cazul in care Partile incheie un
alt acord de prelucrare care sa inlocuiasca prezentul act aditional.
9.2. In cazul in care Imputernicitul nu isi indeplineste obligatiile din prezentul acord, Operatorul este
indreptatit sa rezilieze prezentul Act Aditional la discretia sa, cu efect imediat de la data primirii
notificarii de reziliere.
9.3. In cazul incetarii acestui Acord de Prelucrare pentru oricare cauza sau motiv, Imputernicitul este de
acord si garanteaza ca, la instructiunile Operatorului si in conformitate cu Legislatia Aplicabila,
(i) va preda si returna in maximum 15 zile catre Operator Datele Personale, intr-un format utilizat
in mod curent si agreat cu Operatorul, fara ca Imputernicitul sau Subcontractorii sa retina vreo
copie integrala sau partiala a acestora, sau
(ii) va sterge in mod definitiv sau distruge sau va determina Subcontractorii sa stearga definitiv
sau sa distruga Datele Personale si documentele si informatiile, mediile de stocare continand
Datele Personale, precum si orice fisiere manuale sau computerizate care stocheaza Datele
Personale si va transmite Operatorului o confimare in acest sens in termen de maxim [15 zile].
Clauza 10.6 de mai sus este aplicabila in acest caz.
11.1. Punct de contact. Imputernicitul se obliga si garanteaza ca desemneaza un singur punct de contact
adecvat si specializat responsabil in vederea oferirii de raspunsuri la intrebarile, cererile si
solicitarile Operatorului in legatura cu prelucrarea si protectia Datelor Personale. Acest punct de
contact poate fi responsabilul cu protectia datelor din partea Imputernicitului, daca acesta a fost
numit. Persoana indicata astfel va fi punctul principal de contact pentru responsabilul cu protectia
datelor din partea Operatorului.
11.2. Imbunatatirea continua a conditiilor de prelucrare si implicit a protectiei Datelor Personale.
11.2.1. Partile sunt de acord ca pe intreaga durata a derularii Actului Aditional sa monitorizeze
periodic stadiul si nivelul de protectie a Datelor Personale si cele mai bune practici relevante
pentru imbunatatirea masurilor tehnice si organizatorice instituite in vederea asigurarii unui
nivel de protectie corespunzator riscurilor asociate, si sa faca recomandari reciproce pentru
imbunatatirea masurilor tehnice si organizatorice existente
11.2.2. In scopul prezentei clauze Partile convin sa aiba intalniri la cerere in vederea asigurarii
schimbului de informatii si monitorizarii schimbarilor Legislatiei Aplicabile si practicii in
materie sau aparitiei de noi reglementari in legatura cu acestea. In mod special, acestea pot
viza: (i) introducerea unui Cod de Conduita aplicabil Imputernicitului, (ii) stabilirea unui
mecanism de certificare care sa fie pus in practica de Imputernicit, (iii) stabilirea unui set de
clauze standard care sa guverneze relatia dintre operatori si imputerniciti si (iv) stabilirea
unor ghiduri si recomandari de catre Autoritatea de Supraveghere sau alte entitati cu putere
in acest sens.
11.3. Modificarea Actului Aditional. Partile sunt de acord ca prezentul Act Aditional va putea fi
modificat, suplimentat sau alte asemenea din cand in cand in functie de noile reglementari aparute
in materia protectiei datelor personale sau in functie de cele mai bune practici in materie.
11.4. Anexe. Anexa nr. 1 sunt atasate la prezentul Act Aditional si fac parte integranta din acesta.
Prezentul Act Aditional a fost semnat de catre Parti , astazi [ ], in doua exemplare originale, cate unul
pentru fiecare parte.
Semnaturi,
_____________________ _____________________
ANEXA NR. 1
la Actul Aditional cu privire la Activitatile de Prelucrare a Datelor cu Caracter Personal ale
[denumirea clientului ] din data de [ ]
In legatura cu art 1.1. din Actul Aditional, Partile declara ca intre ele au fost incheiate urmatoarele:
Contractul/ Contractele privind [ ] nr. [ ] din data de [ ], avand urmatoarele acte aditionale incheiate: